В этом разделе описаны варианты развертывания роли пограничного транспортного сервера Microsoft Exchange Server 2007 в существующей топологии Exchange Server. Кроме того, в разделе объясняется, что необходимо учитывать при настройке сервера с Microsoft Internet Security and Acceleration (ISA) Server 2006 в качестве брандмауэра между пограничным транспортным сервером и транспортным сервером-концентратором.

Созданный для уменьшения контактной зоны, пограничный транспортный сервер обрабатывает весь поток почты, проходящей через Интернет, обеспечивая передачу данных по протоколу SMTP и работу служб промежуточных узлов для организации Exchange. Дополнительные уровни защиты и безопасности сообщений обеспечиваются рядом агентов, запущенных на сервере пограничного транспортного сервера и выполняющих операции с сообщениями при их обработке компонентами транспорта сообщений. Эти агенты поддерживают средства, которые обеспечивают защиту от вирусов и нежелательной почты и применяют правила транспорта для управления потоком сообщений.

Поддерживаемые варианты развертывания

Ниже описаны поддерживаемые варианты развертывания.

  • Разверните пограничный транспортный сервер Exchange Server 2007 в существующей среде Exchange Server 2003. Дополнительные сведения см. в разделе How to Deploy an Edge Transport Server in an Existing Exchange Server 2003 Organization.

  • Рекомендуемая топология: разверните пограничный транспортный сервер Exchange Server 2007 в демилитаризованной зоне (промежуточной подсети) организации Exchange Server 2007 в качестве члена рабочей группы или домена. Дополнительные сведения см. в разделе Инструкции по выполнению выборочной установки с использованием мастера установки Exchange Server 2007.

  • Разверните пограничный транспортный сервер Exchange Server 2007 в качестве члена организации Exchange Server 2007, в которой есть служба каталогов Active Directory.

  • Разверните несколько пограничных транспортных серверов Exchange Server 2007 в демилитаризованной зоне домена или рабочей группы организации Exchange Server 2007 .

Рекомендуется развертывать пограничный транспортный сервер за пределами организации (в демилитаризованной зоне). Пограничный транспортный сервер может быть развернут как изолированный сервер или как член домена Active Directory в демилитаризованной зоне.

Дополнительные сведения о развертывании пограничного транспортного сервера в демилитаризованной зоне организации Exchange Server 2007 см. в следующих разделах:

В таблице ниже описаны преимущества различных типов развертывания пограничного транспортного сервера.

Развертывание пограничного транспортного сервера Преимущество

В качестве части домена

Менее безопасный способ, простое управление

Изолированный сервер

Более безопасный способ, сложное управление

В качестве части рабочей группы

Более безопасный способ, сложное управление

В качестве особого леса периметра

Более безопасный способ, простое управление, но выше требования к оборудованию (рекомендуется для крупных предприятий)
Примечание.
Для развертывания Exchange Server 2007 не требуется развертывать пограничный транспортный сервер. Можно использовать один компьютер с основными ролями сервера, такими как сервер почтовых ящиков, сервер клиентского доступа и транспортный сервер-концентратор. Этот компьютер будет принимать электронную почту из Интернета для домена, а также поддерживать антивирусные программы и средства защиты от нежелательной почты.

При установке пограничного транспортного сервера на нем включаются функции защиты от нежелательной почты. При добавлении пограничного транспортного сервера в демилитаризованную зону Exchange Server 2007 необходимо подписать его на сайт Active Directory с помощью пограничной подписки, если выполняется одно из следующих условий:

  • планируется использование средств борьбы с нежелательной почтой, просмотра получателей или объединения списка надежных отправителей;

  • планируется развернуть безопасность домена с партнерской организацией.

Если в демилитаризованной зоне домена или рабочей группы организации Exchange Server 2007 развернуто несколько пограничных транспортных серверов, можно распределять между ними сетевой трафик SMTP, определив в базе данных DNS почтового домена несколько MX-записей ресурсов с одинаковым приоритетом. Развертывание нескольких пограничных транспортных серверов также обеспечивает избыточность на случай сбоя сервера.

В представленной ниже таблице сравниваются возможности, предлагаемые различными вариантами развертывания пограничных транспортных серверов в организации Exchange Server 2007.

Варианты развертывания пограничного транспортного сервера

  Пограничный транспортный сервер не развернут Пограничный транспортный сервер развернут в лесу Active Directory, который обслуживает организацию Exchange Рекомендуется: роль пограничного транспортного сервера развертывается в рабочей группе или домене периметра сети Комментарии или описание

Минимальное количество серверов

1

2

2

Роль пограничного транспортного сервера не может быть установлена на одном компьютере с другими ролями сервера. В сценарии с одним сервером агенты защиты от нежелательной почты развертываются вручную на роли транспортного сервера-концентратора. Роль пограничного транспортного сервера не устанавливается.

Изоляция сети

Нет

Нет

Да

Нежелательная почта и вредоносные программы отклоняются до того, как они попадают в сеть, только в том случае, если роль пограничного транспортного сервера развернута в демилитаризованной зоне.

Агенты защиты от нежелательной почты, установленные по умолчанию

Нет

Да

Да

Если роль пограничного транспортного сервера не развернута, администратор может включить агенты защиты от нежелательной почты на транспортном сервере-концентраторе с помощью команды командной консоли Exchange. Дополнительные сведения см. в разделе Включение функции защиты от нежелательной почты на транспортном сервере-концентраторе.

Пользовательский интерфейс защиты от нежелательной почты

По умолчанию пользовательский интерфейс защиты от нежелательной почты не отображается. Он включается после развертывания вручную агентов для защиты от нежелательной почты.

Отображается по умолчанию

Отображается по умолчанию

Консоль управления Exchange предоставляет интерфейс для настройки следующих компонентов:

  • функции защиты от нежелательной почты

  • соединители приема

  • соединители отправки

  • правила транспорта

Обработка электронной почты из Интернета

Обработка электронной почты из Интернета включается только после задания типа использования «Интернет» на соединителе приема и создания соединителя отправки с типом использования «Интернет».

Да

Да

Дополнительные сведения см. в разделе Инструкции по настройке соединителей для потока почты Интернета.

Фильтрация подключений

Да

Да

Да

Фильтрация содержимого предоставляет черные и белые списки IP-адресов для защиты от нежелательной почты. Дополнительные сведения см. в разделе Фильтрация подключений.

Фильтрация отправителей

Да

Да

Да

Репутация отправителей динамически анализируется и обновляется с течением времени. Дополнительные сведения см. в разделе Фильтрация отправителя.

Фильтрация получателей

Да

Да

Да

Получатели проверяются с помощью глобального списка адресов. Дополнительные сведения см. в разделе Фильтрация получателей.

Служба Microsoft Exchange EdgeSync

Неприменимо

Да

Да

Списки надежных отправителей Microsoft Office Outlook и глобальный список адресов передаются в зашифрованном виде в демилитаризованную зону.

Код отправителя

Да

Да

Да

Код отправителя проверяется при получении электронной почты. Он включается в оценку вероятности нежелательной почты. Дополнительные сведения см. в разделе Код отправителя.

Фильтрация содержимого (интеллектуальная фильтрация почты)

Да

Да

Да

Регулярные обновления Regular Microsoft SmartScreen позволяют бороться с нежелательной почтой и фишингом. Дополнительные сведения см. в разделе Настройка автоматического обновления защиты от нежелательной почты.

Вероятность нежелательности почты

Да

Да

Да

Оценка вероятности нежелательной почты назначается сообщению на основе нескольких факторов. Дополнительные сведения см. в разделе Настройка порога вероятности нежелательной почты.

Метка для борьты с нежелательной почтой

Да

Да

Да

Сообщения помечаются данными об оценке нежелательной почты. Дополнительные сведения см. в разделе Марки для борьбы с нежелательной почтой.

Замедленная обратная реакция и искусственная задержка ответов

Да

Да

Да

Замедленная обратная реакция и искусственная задержка ответов защищают от атак типа «отказ в обслуживании» и атак с целью сбора действующих адресов. Дополнительные сведения см. в разделе Общие сведения об обратном давлении и в подразделе «Искусственная задержка ответов» раздела Фильтрация получателей.

Двухуровневный карантин нежелательной почты

Да

Да

Да

Администратор может получать доступ к папке карантина нежелательной почты и освобождать сообщения для получателей. Дополнительные сведения см. в разделе Карантин нежелательной почты.

Фильтрация вложений

Нет

Да

Да

Вложения удаляются на основе их размера, содержимого или типа файла. Дополнительные сведения см. в разделе Фильтрация вложений.

Forefront Security для Exchange Server

Да

Да

Да

Дополнительные сведения см. в статье Защита организации Microsoft Exchange с помощью Microsoft Forefront Security для Exchange Server.

Конфигурация сетевого адаптера в демилитаризованной зоне

В зависимости от конфигурации сетевого адаптера или брандмауэра в топологии демилитаризованной зоны можно развернуть пограничный транспортный сервер в конфигурации многосетевого узла-бастиона или в конфигурации промежуточной подсети (односетевой конфигурации), как показано на рисунке ниже.


Конфигурация многосетевого и односетевого пограничного транспортного сервера

В многосетевой конфигурации узел подключается к нескольким сетям или имеет несколько сетевых адресов. В односетевой конфигурации существует один брандмауэр с тремя сетевыми адаптерами. Такой брандмауэр обычно называется трехсетевым.

Как в многосетевой, так и в односетевой конфигурации можно использовать для настройки соединителей приема и отправки на пограничных транспортных серверах и транспортных серверах-концентраторах один или несколько IP-адресов. Дополнительные сведения о настройке соединителей см. в разделе Управление соединителями.

Факторы, которые необходимо учитывать при развертывании пограничного транспортного сервера с ISA Server 2006

Можно настроить пограничный транспортный сервер или транспортный сервер-концентратор для совместной работы с Microsoft Internet Security and Acceleration (ISA) Server 2006 с целью защиты сети предприятия и приложений. Дополнительные сведения о настройке брандмауэра ISA Server 2006 между транспортными серверами-концентраторами и пограничными транспортными серверами см. в разделе Использование сервера ISA Server 2006 совместно с Exchange 2007.

Если в организации Exchange с транспортными серверами-концентраторами и пограничными транспортными серверами настроен ISA Server 2006 и требуется разрешить трафик SMTP или SMTPS между транспортными серверами-концентраторами и пограничными транспортными серверами, необходимо выполнить изложенные ниже указания.

  • Если трафик SMTP с пограничного транспортного сервера на транспортный сервер-концентратор фильтруется через сервер с ISA Server 2006, отключите на этом сервере фильтр SMTP.

  • Если трафик SMTPS с пограничного транспортного сервера на транспортный сервер-концентратор фильтруется через сервер с ISA Server 2006, также отключите на этом сервере фильтр SMTP.

Если нельзя отключить фильтрацию SMTP или SMTPS на сервере с ISA Server 2006, можно добавить команды SMTP, такие как X-ANONYMOUSTLS и X-EXPS, которые относятся только к Exchange Server 2007, в надстройку фильтра SMTP на ISA Server 2006.

Дополнительные сведения об отключении фильтрации SMTP или SMTPS на ISA Server 2006 и добавлении команд SMTP на сервер ISA Server 2006 см. в разделе Сообщения задерживаются в очереди на пограничном транспортном сервере с ошибкой 500 5.1.1 "Нераспознанная команда".

Дополнительные сведения


Сетевые конфигурации для многосетевых и односетевых пограничных транспортных серверов